YD_T 2502-2013手机支付 移动终端安全技术要求.pdf

ICS 33. 600M 60YD中华人民共和国通信行业标准YD/T 2502-2013手机支付移动终端安全技术要求Mobile paymentsecurity technical reguirement for mobile terminal2013-04-25 发布2013-04-25实施中华人民共和国工业和信息化部发布 YD/T 2502-2013目次1　范围·2规范性引用文件3术语、定义和缩略语·3.1术语和定义3.2缩略语·4　手机支付移动终端安全威胁·5手机支付移动终端安全架构·6硬件设备安全层技术要求···6.1NFC-SWP 方式智能卡芯片安全要求6.2NFC全移动终端方式内置安全模块芯片安全要求（可选）6.3对访问智能卡或内置模块的技术要求·6.4射频安全要求7操作系统OS 的安全层安全技术要求·7.1操作系统存储安全要求7.2操作系统的启动和运行安全要求7.3软件应用管理安全要求·7.4涉及通信连接类操作的管理安全要求7.5操作系统更新的安全要求8　应用程序接口API安全层技术要求9业务应用安全层·9.1手机支付客户端软件安全要求9.2对手机支付客户端软件提供安全保护的功能·9.3通信安全要求，9.4异常情况下的安全要求·10　运行环境的配置安全要求·附录 A（资料性附录）Android 安全架构附录 B（资料性附录）Java API安全策略·附录C（资料性附录）Android API访问策略·10 YD/T 2502-2013附录A（资料性附录）Android安全架构A.1概述Android操作系统的安全措施包括沙箱（Sandbox）、许可（Permission）、应用程序签名（ApplicationSignature）。支持手机支付的移动终端采用Android操作系统时应符合Android操作系统的上述安全措施的技术要求。A.2沙箱Android使用沙箱的概念来实现应用程序之间的分离和权限，以允许或拒绝一个应用程序访问设备的资源，比如说文件和目录、网络、传感器和API。两个Android 应用程序，各自在其自己的基本沙箱或进程上。A.3 许可Android应用程序需要在自己的配置文件AndroidManifest.xml中声明需要的许可权限，包括申请访问限并将该应用程序申请的许可权限显示给用户，由用户判断是否授予该应用程序相应的权限。应用程序被授予其申请的许可权限后，Android系统只允许该应用程序访问其所申请的API和系统资源。A.4应用程序签名Android对于应用程序签名的要求如下：关系。·使用相同数字签名签署的两个应用程序可以相互授予权限来访问基于签名的API，如果它们共享用户ID，那么也可以运行在同一进程中，从而允许访问对方的代码和数据。·同一个开发者的多个程序尽可能使用同一个数字证书·数学证书的有效期：数字证书的有效期需包含应用程序的预计生命周期，一旦数字证书失效，持有该数字证书的应用程序将不能正常升级。如果多个程序使用同一个数字证书，则该数字证书的有效期应包含所有程序的预计生命周期。Android Marke强制要求所有应用程序数字证书的有效期要持续到2033年10月22日以后。 YD/T 2502-2013附录B（资料性附录）JavaAPI安全策略移动终端支持Java2平台Java ME时，应符合JSR-118（MIDP2.0规范）和JSR-139（CLDC1.1规范）规范，实现MIDP 2.0中定义的Java API。移动终端应支持的保护域包括：制造商域、运营商域、可信任第三方域以及非信任域，每个保护域都与一系列的访问控制策略相对应，前三个保护域都通过代码签名验证机制确定应用的可信性，而非信任域则无须签名验证。具有合法签名的应用可以经过相应保护域的验证，相应的，对于敏感API可以定义为自动授予（也就是经过该保护域的验证就可以自动获得授权），也可以是用户批准（也就是经过用户许可才可以执行），没有合法签名的应用只能安装到非信任域，敏感API禁止访问或由用户批准。支持Java ME的移动终端提供的保护域如图B.1所示。MIDLets制造商域运营商域可信第三方域非信任域制造商CA运营商CA其他 CA图B.1支持Java ME的移动终端提供的保护域对应用的签名验证可以采用基于PKI的代码签名机制，要求如下：·移动终端首先需要内置CA根证书（不同的保护域，根证书不同）；·开发者向 CA 申请证书，CA签发证书;·开发者开发应用后采用开发者证书签名，并发行应用；·手机用户下载/安装应用过程中，移动终端做签名验证。在应用安装时，应用声明需要访问的API列表以及需要加入的保护域；每个保护域对应用的签名进行验证，并根据定义的API权限列表和对应的授权模式，在应用安装及运行过程中进行检查；通过检查后